19 Mayıs'ta gerçekleştirilen yeni bir mini Shai Hulud tedarik zinciri saldırısında, tehdit aktörleri npm paketlerinin 600'den fazla kötü amaçlı sürümünü dağıttı. Saldırının ana hedefi AntV veri görselleştirme ekosistemiydi. Etkilenen sürümler artık kaldırıldı.
Duyurudan sonra devamını okuyun
Soket BT araştırmacıları başlangıçta 323 npm pakete yayılmış, güvenliği ihlal edilmiş 639 AntV paketi sürümünü belirledi. JFrog'a göre bu sayı artık 325 npm'lik paketlere yükseldi. Saldırganlar bunları proje yöneticisinin saldırıya uğramış hesabı aracılığıyla elde etti atool paketleri @antv ad alanına yayınlayan dolaşımda. Ele geçirilen hesap yaygın olarak kullanılan görselleştirme, grafik, haritalama, grafik ve React bileşen paketleriyle bağlantılı olduğundan Socket, tedarik zinciri saldırısından kaynaklanan potansiyel hasarın önemli olduğuna inanıyor.
Kötü amaçlı paket yayınları diğerlerinin yanı sıra 3:56 ile 4:56 CEST arasında ortaya çıktı @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/s2, @antv/f2, @antv/g, @antv/g2plot, @antv/graphin, @antv/data-set aynı zamanda timeago.js, size-sensor VE canvas-nest.js (tam liste Soket blog yazısında). Paket de mayınlıydı echarts-for-reactApache ECharts için yaygın olarak kullanılan ve ayda bir milyondan fazla indirme alan bir React sarmalayıcı. Socket, kötü amaçlı sürümleri yayınlandıktan yaklaşık 6-12 dakika sonra keşfettiğini söyledi.
Veri hırsızlığı konusunda hassas olmayın
Kötü amaçlı yazılım, virüslü sistemlerde oturum açma verilerini arar ve bunları iletir https://t[.]m-kosche[.]com:443/api/public/otel/v1/traces dışarı. Veri hırsızları, örneğin Amazon AWS ve Microsoft Azure bulut kimlik bilgilerini hedefler, ancak aynı zamanda GitHub ve npm belirteçlerini, yapılandırma dosyalarını ve SSH anahtarlarını da çalar.
Kötü amaçlı yazılım kullanılabilir GitHub kimlik bilgileri bulursa, etkilenen hesapta otomatik olarak yeni bir depo oluşturabilir ve çalınan verileri burada results/ dizininde saklayabilir. Güvenliği ihlal edilmiş hesaplar, README.md dosyasında tersten yazılan “Shai-Hulud: İşte Başlıyoruz” satırından tespit edilebilir. GitHub'da “niagA oG eW ereH:duluH-iahS” araması şu anda etkilenen yaklaşık 1.500 depo buluyor.
Shai Hulud kaynak kodunun TeamPCP hack grubu tarafından yayınlanmasından sadece birkaç gün sonra, AntV'ye Shai Hulud mini tedarik zinciri saldırısı gerçekleşti. İlk Shai Hulud klonları ortaya çıktığından beri bunlardan birinin AntV'yi hedef aldığı aşikar. Daha fazla kötü amaçlı yazılım çeşidi planlanıyor: TeamPCP, siber suç forumu BreachForums'da en zararlı klon için bir yarışma düzenledi.
Duyurudan sonra devamını okuyun
(mro)
Bir yanıt yazın